1. Suricata가 뭘까 대체

Suricata는 오픈 소스 기반의 네트워크 침입 탐지 시스템(IDS) 혹은, 활용해서 침입 방지 시스템(IPS)로 사용할 수 있다.

OISF에 의해 만들어진 도구고 네트워크 트래픽을 실시간으로 분석, 비정상적인 활동을 탐지하고 차단한다.

 

주요 기능

1. 실시간 트래픽 모니터링 및 분석

2. 네트워크 침입 시도나 악성 활동 탐지.

3.다양한 프로토콜(HTTP, DNS, TLS) 분석 및 메타데이터 추출

4.JSON 로그 파일 생성으로 데이터 통합 및 시각화 지원

 

근데 Suricata 말고 Snort라고 다른 오픈소스가 있다.

얘는 뭐지?

기능	Suricata	Snort (Snort 3)
멀티 스레드 지원	기본적으로 멀티스레딩을 지원하여 고성능 네트워크에 적합	멀티 스레드를 지원하긴 하지만 Suricata에 비해 최적화 부족
로그 출력 형식	JSON로그 형식 지원, 대시보드와 연동이 용이	YAML 및 JSON 형식을 지원, 가독성 및 분석 용이
규칙 호환성	Snort 규칙과 호환, Suricata 규칙도 추가 제공	Lua 스크립트를 통해 규칙 유연성이 높음
프로토콜 분석	HTTP, DNS, TLS등 심층 프로토콜 분석 제공	HTTP, DNS, TlS등 다양한 프로토콜 분석 가능
활발한 커뮤니티	활발한 개발과 미 국토안보부(NSA)에서 정기적인 업데이트 제공	Cisco Talos에서 정기적으로 업데이트를 제공

 

위에 표로 정리 한 결과 Suricata와 Snort3의 차이점을 명확하게 한눈으로 파악 할 수 있었다.

 

IDS (Intrusion Detection System)

기능 : 네트워크 트래픽을 분석하고 비정상적인 활동을 탐지, 관리자에게 경고 보냄

특징 : 수동적, 트래픽 차단 기능은 없고 탐지에만 초점이 맞추어져 있음, 관리자 필요

활용 : 네트워크 모니터링, 위협 탐지

 

IPS (Intrusion Prevention System):

기능 : IDS는 탐지에만 초점을 맞추었지만, 얘는 비정상 트래픽을 차단하거나 방어하는 능력이 추가 된 시스템

특징 : 능동적 방어, 트래픽을 분석한 후 스스로 악성 트래픽을 차단, 격리

활용 : 실시간 공격 차단, 네트워크 보호

 

Suricata는 IDS, IPS의 기능을 통합 제공한다.

IPS로의 사용을 위해 iptables와 연계하는 기능이 있다.

대규모 처리에 유리하기 때문에 대부분의 회사가 이걸 개조해서 자사 제품으로 만들고 있는것 같다.

 

고성능 네트워크 환경에선 CPU와 메모리 사용량이 높다지만은... 요즘 하드웨어로 그런게 의미가 있나 싶기도 하다.

 

아무튼 IDS, IPS로 사용 할 만한 재미있는 놈이다.

알아가보자